Table of contents
- 1 Kapitel 1: Einleitung
- 2 Kapitel 2
- 2.1 Warum Top-Down-Governance nicht optional ist
- 2.2 Die wichtigsten Bedrohungsakteure
- 2.3 Video: Zusammenfassung
- 2.4 Widget: Rechner für die finanziellen Auswirkungen von Ransomware
- 3 Kapitel 3
- 3.1 Fallstudien zu fünf Studienfächern
- 3.2 Widget 2: Bewertungsbogen zur Reife der Cyber-Governance im Vorstand
- 3.3 Widget 3: Threat Actor Intelligence Explorer
- 4 Abschluss
1 Kapitel 1: Einleitung
2 Kapitel 2
2.1 Warum Top-Down-Governance nicht optional ist
Warum Top-Down-Governance nicht optional ist
Cybersicherheit ist kein Technologieproblem, sondern ein Governance-Problem. Dieser erste Abschnitt erläutert, warum der Vorstand rechtlich verantwortlich ist – und was das in der Praxis bedeutet.
1.1 Der systemische Charakter der Cybersicherheit
Eine Firewall entscheidet nicht über die Höhe der Sicherheitsausgaben. Ein SIEM-System entscheidet nicht über Investitionen in Mitarbeiterschulungen. Ein Patch-Management-System entscheidet nicht über die Ablösung veralteter OT-Systeme. Dies sind Entscheidungen der Unternehmensführung – getroffen vom Vorstand. Und der Vorstand trägt nun die rechtliche Verantwortung dafür.
Der Vorstand legt die Risikobereitschaft fest. Wurde der Vorstand nicht ausreichend über Cyberrisiken informiert – in einer für ihn verständlichen und handlungsfähigen Weise –, so ist seine Risikobereitschaft unzureichend begründet. Eine unzureichend begründete Risikobereitschaft ist keine Entschuldigung, sondern ein Versagen der Unternehmensführung.
Die drei Versagensarten der Cyber-Governance von Aufsichtsräten
Delegation ohne Rechenschaftspflicht
„Wir haben einen CISO – das ist seine Aufgabe.“ Der CISO setzt das Programm um; der Vorstand definiert die Risikobereitschaft, genehmigt das Programm, überprüft dessen Wirksamkeit und macht den CISO verantwortlich.
Budget ohne Verständnis
Die Genehmigung eines Cybersicherheitsbudgets ohne zu verstehen, was damit angeschafft wird und welche Risiken bestehen bleiben, ist keine gute Unternehmensführung – es ist ein Blankoscheck, der Haftung ohne Sicherheit schafft.
Richtlinie ohne Nachweis
Hervorragende Richtlinien auf dem Papier, die nie überprüft werden. Eine Richtlinie, die besagt, dass „alle Daten verschlüsselt sind“, ist wertlos, wenn niemand überprüft hat, ob sie tatsächlich verschlüsselt sind.
2.2 Die wichtigsten Bedrohungsakteure
Die wichtigsten Bedrohungsakteure
Das Verständnis dafür, wer Organisationen angreift – und warum – ist die Grundlage für fundierte Risikoentscheidungen auf Vorstandsebene.
1.2 Nationalstaatliche Akteure
Staatlich geförderte Gruppen aus Russland, China, Nordkorea und dem Iran verüben Angriffe zur Gewinnung geopolitischer Informationen, zur Industriespionage und zur Störung kritischer Infrastrukturen. Diese Akteure operieren in ihren jeweiligen Ländern mit unbegrenzter Zeit und Ressourcen sowie Straffreiheit.
- → Chinas Volt-Taifun: Seit Jahren in kritischer Infrastruktur der USA und Europas positioniert, wartet er auf geopolitische Auslöser. Pharma-, Energie- und Halbleiterunternehmen sind vorrangige Ziele.
- → Russlands Sandwurm: verantwortlich für NotPetya (2017) – weltweiter Schaden von über 10 Milliarden US-Dollar, darunter 300 Millionen US-Dollar für Maersk und 870 Millionen US-Dollar für Merck. Von Versicherern als „Kriegshandlung“ eingestuft.
- → Die nordkoreanische Lazarus-Gruppe: Sie verübt Ransomware-Angriffe und Kryptowährungsdiebstähle, um staatliche Programme zu finanzieren. Verantwortlich für WannaCry (2017) – weltweiter Schaden von über 4 Milliarden US-Dollar, 80.000 Geräte des britischen Gesundheitsdienstes NHS verschlüsselt.
Organisierte kriminelle Ransomware-Gruppen (RaaS)
Ransomware-as-a-Service hat die Cyberkriminalität industrialisiert. Gruppen wie LockBit, BlackCat/ALPHV, Cl0p und Royal operieren mit Partnerprogrammen – sie rekrutieren technische Spezialisten, Verhandlungsführer und Geldwäschenetzwerke.
- → Durchschnittliche Lösegeldforderung von Unternehmen (2024): 5 Mio. $ – über 50 Mio. $ . Durchschnittliche Gesamtkosten eines Vorfalls: 4,5 Mio. $ für mittelständische Unternehmen, über 30 Mio. $ für Großunternehmen.
- → Doppelte Erpressung: Daten werden verschlüsselt UND exfiltriert. Die Opfer sehen sich sowohl mit der Stilllegung ihres Betriebs als auch mit der Drohung konfrontiert, sensible Daten öffentlich zu machen.
- → Dreifache Erpressung: Die Angreifer nehmen direkt Kontakt zu Kunden, Partnern, Aufsichtsbehörden und Medien auf – und erzeugen so Druck, der unabhängig von der Reaktion des Unternehmens ist.
- → Das RaaS-Modell bedeutet, dass Angriffe nun auch für Akteure mit geringen Fachkenntnissen zugänglich sind – jeder Kriminelle kann die Infrastruktur mieten.
2.3 Video: Zusammenfassung
2.4 Widget: Rechner für die finanziellen Auswirkungen von Ransomware
3 Kapitel 3
3.1 Fallstudien zu fünf Studienfächern
Fünf große Fallstudien
Reale Ereignisse, die die aktuelle Regulierung geprägt haben. Jedes einzelne birgt eine direkte Lehre für die Unternehmensführung auf Vorstandsebene.
1.3 Was geschah – und was bedeutet das für Ihren Vorstand?
Fall 1 – Jaguar Land Rover: Produktionsstopp (2022)
Ransomware verschlüsselte OT-Systeme (Operational Technology), die mit Fertigungslinien verbunden waren, und legte die Produktion in mehreren Werken für mehrere Wochen lahm. Finanzieller Schaden: Hunderte Millionen. Wichtigste Erkenntnis: Die vermeintliche Trennung zwischen IT- und OT-Systemen ist in der modernen vernetzten Fertigung weitgehend überholt. Ein Cyberangriff führte zum Stillstand physischer Produktionslinien.
Verfügt Ihr Unternehmen über eine dokumentierte und erprobte OT/IT-Trennungsrichtlinie? Wurde der Vorstand darüber informiert, welche physischen Betriebsabläufe durch einen Cyberangriff beeinträchtigt werden könnten?
Fall 2 – British Airways: Datendiebstahl, 20 Millionen Pfund DSGVO-Strafe (2018)
Schadcode in JavaScript hat 62 Tage lang unbemerkt Zahlungs- und personenbezogene Daten von rund 500.000 Kunden abgegriffen. Der Angriff erfolgte über einen kompromittierten Drittanbieter – doch BA musste die volle Strafe tragen. Wichtigste Lehre: Haftung gegenüber Dritten ist auch Ihre Haftung.
Fall 3 – MOVEit-Angriff auf die globale Lieferkette (Cl0p, 2023)
Eine Zero-Day-Sicherheitslücke in der Dateitransfersoftware MOVEit wurde entdeckt. Über 2.500 Organisationen sind betroffen, 83 Millionen Datensätze wurden offengelegt. BBC, British Airways, Shell, Boots und US-Bundesbehörden wurden gleichzeitig kompromittiert. In Dutzenden von Ländern und Regionen wurden dadurch 72-Stunden-Meldepflichten ausgelöst.
Fall 4 – MGM Resorts: Social Engineering, Verlust von über 100 Millionen US-Dollar (2023)
Angreifer riefen den IT-Helpdesk an, gaben sich als über LinkedIn identifizierter Mitarbeiter aus und forderten eine Zurücksetzung der Zwei-Faktor-Authentifizierung. Die gesamte IT-Infrastruktur von MGM – Spielautomaten, Hotelzimmerkarten, Kassensysteme in Restaurants, Reservierungssysteme – war über zehn Tage offline. Kein ausgeklügelter technischer Angriff nötig. Ein Anruf reichte aus, um die gesamte Sicherheitsinfrastruktur zu überwinden.
Fallbeispiel 5 – SolarWinds: Lieferkette zwischen Nationalstaat und Staat (2020)
Der russische Staatsakteur APT29 kompromittierte die Software-Build-Pipeline von SolarWinds Orion und schleuste Schadsoftware in 18.000 Organisationen ein, darunter das US-Finanzministerium, das US-Heimatschutzministerium und Microsoft. Der Angriff blieb neun Monate lang unentdeckt. Es handelte sich um den wohl raffiniertesten bekannten Lieferkettenangriff der Geschichte – mit dem Ziel, den Softwareentwicklungsprozess selbst ins Visier zu nehmen.